红队钓鱼样本分析实战教学文档 一、背景与目标 场景 ：HVV（护网行动）中遭遇邮件钓鱼攻击，需分析恶意样本。 目标 ：掌握样本分析流程，理解红队攻击手法，提取IOC（Indicators of Compromise）。 二、样本分析流程 1. 样本获取与初步检查 来源 ：钓鱼邮件附件（如 .docx 、 .exe 、 .js 等）。 静态检查 ： 文件类型识别：使用 file 命令或工具（如 TrID ）。 哈希值计算： MD5/SHA1/SHA256 （示例： certutil -hashfile sample.exe SHA256 ）。 查杀引擎扫描：VirusTotal、微步云沙箱。 2. 动态分析 沙箱环境 ：Cuckoo Sandbox、Any.Run。 监控行为：进程创建、文件操作、网络请求。 关键行为 ： 远程加载 ：样本可能从C2服务器下载后续载荷（如PowerShell命令 Invoke-WebRequest ）。 持久化 ：注册表修改、计划任务、启动项添加。 敏感信息窃取 ：键盘记录、浏览器凭据提取。 3. 静态深入分析 文档类样本（如钓鱼DOCX） ： 使用 olevba 或 oletools 提取宏代码。 分析宏中的恶意函数（如 AutoOpen 触发）。 可执行文件 ： 反编译工具：IDA Pro/Ghidra（分析逻辑）。 字符串提取： strings 命令或 FLOSS 工具（查找URL、API密钥）。 脚本类（如JS/VBS） ： 代码混淆处理：手动解码或使用 CyberChef 。 4. IOC提取 网络层面 ： C2域名/IP（如 http://malicious.com/payload.exe ）。 通信协议（HTTP/HTTPS/DNS隧道）。 文件层面 ： 落地文件路径（如 %AppData%\temp.exe ）。 依赖组件（如合法的 rundll32.exe 被滥用）。 行为特征 ： 特定注册表键（如 HKCU\Software\Microsoft\Windows\CurrentVersion\Run ）。 三、红队攻击手法复现 钓鱼诱饵设计 ： 伪装文件名（如 薪资调整通知.docx ）。 社会工程学内容（紧急、权威机构名义）。 载荷投递 ： 利用漏洞（如CVE-2017-11882触发Office漏洞）。 无文件攻击（内存加载PE文件）。 权限维持 ： 隐藏计划任务（ schtasks /create /tn "Update" /tr "恶意路径" ）。 四、防御建议 检测 ： 监控异常进程（如 mshta.exe 执行脚本）。 网络流量分析（异常DNS请求）。 防护 ： 禁用Office宏（GPO策略）。 邮件网关过滤可疑附件。 响应 ： 隔离受感染主机。 更新IOC至威胁情报平台。 五、工具清单 | 工具类型 | 推荐工具 | |----------------|-----------------------------------| | 静态分析 | PEiD、Detect It Easy、Ghidra | | 动态分析 | Process Monitor、Wireshark | | 脚本分析 | VSCode（调试JS）、PowerShell ISE | | 沙箱 | Hybrid Analysis、Joe Sandbox | 六、注意事项 样本不可上线 ：分析时需断网或使用隔离环境。 法律合规 ：仅用于授权测试，禁止恶意使用。 附录 ： 参考链接： Oletools文档 示例IOC： SHA256: a1b2c3... （需替换为实际值） （注：原文中未提供具体样本，部分细节需结合实际分析补充。）